OCselected
【开源之道Talking】七月(下):open source 和出口管制(EAR)的故事 Project
1 https://mp.weixin.qq.com/s/b9TPrtxWmMHX3BA8Eq_OGQ 2 EAR 是啥,ECCN啥? 2 前段时间的hashicorp的禁用事件引发的思考 3 EAR 解读 ,加密的根基是基于国家安全,我们不希望坏人能够入侵我们的加密通信
https://www.linuxfoundation.org/blog/2019/05/linux-foundation-statement-on-huawei-entity-list-ruling/
不涉及加密的开源软件 Linux Foundation是一个免费的开源软件组织,其项目社区公开发布协作开发的软件。由Linux Foundation项目发布的所有软件都可以公开获得,而不受开源许可施加的限制。公开发布的软件(例如开源软件)不受EAR [2]的约束,因此与实体列表裁定无关。
开源加密软件 开源加密软件源代码已由美国商务部工业和安全局(BIS)重新分类,自2016年9月20日起公开发布,不再受EAR的约束。 [3]仍然需要每个使用或实现加密的开放源代码项目向BIS和NSA发送URL通知,以满足EAR中15 CFR§742.15(b)的公开通知要求。
Apache 基金会专家:吴晟 Sheng Wu 包含加密算法的开源软件,在基金会是要报备的
Synopsys对于加密算法的解读 though it restricts only strong cryptography, with particular sensitivity to a small number of bad actor nation states.
https://www.synopsys.com/blogs/software-security/encryption-technology-export-requirements/
https://mp.weixin.qq.com/s/p9xL55X-CmdySyJy4rx2yg Apache 软件基金会对于出口管制(EAR)的正式的回复于评论
开源 之道 邀请您参加预先安排的 Zoom 会议。
主题:开源与EAR (开源之道Talking) 时间:2020年7月25日 08:00 下午 北京,上海
加入 Zoom 会议 https://zoom.com.cn/j/61686160854?pwd=SlpiV2ZRSVl6cHd4QWEwU1Nlempmdz09
会议 ID:616 8616 0854 密码:012834 手机一键拨号 +16465588656,,61686160854#,,#,012834# 美国 (纽约) +17207072699,,61686160854#,,#,012834# 美国 (丹佛)
根据您的位置拨号 +1 646 558 8656 美国 (纽约) +1 720 707 2699 美国 (丹佛) +1 8186657236(Voxbone) 美国 (洛杉矶) +1 253 215 8782 美国 (Tacoma) +1 301 715 8592 美国 (Germantown) +1 312 626 6799 美国 (芝加哥) +1 346 248 7799 美国 (休斯顿) 会议 ID:616 8616 0854 密码:012834 查找本地号码:https://zoom.com.cn/u/ib4ZgGhaPC
依EAR,美国人、美国公司将软件出口至美国境外,或在美国境内提供给外国人作为出口的预备行为,必须申请取得许可。
但符合“公开可获取(Publicly available)”定义的软件,不在 EAR 管制范围(EAR 734.7 (a)),也就是说,多数开源软件,出口上不需要申请许可。
但 EAR 734.7 (b) 同时说明,公开可获取软件虽不需许可,但若涉及加解密技术,仍然必须申请许可,除非是这个加解密技术本身也是公开可获取的,那就可以采用EAR 742.15(b) 款提供源代码或揭露源代码来源的方式,来登录备查。
中华人民共和国密码法 第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。 大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
但符合“公开可获取(Publicly available)”定义的软件,不在 EAR 管制范围(EAR 734.7 (a)),也就是说,多数开源软件,出口上不需要申请许可。
但 EAR 734.7 (b) 同时说明,公开可获取软件虽不需许可,但若涉及加解密技术,仍然必须申请许可,除非是这个加解密技术本身也是公开可获取的,那就可以采用EAR 742.15(b) 款提供源代码或揭露源代码来源的方式,来登录备查。 中华人民共和国密码法 第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。 大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。